7 meilleures pratiques pour protéger votre compte Twilio SendGrid et votre réputation d'envoi

Chez Twilio SendGrid, notre priorité absolue est nos clients et la protection de leurs marques. Construire la plateforme de messagerie la plus puissante et la plus performante au monde n'est que le début. Nous avons également développé une technologie pour sécuriser vos comptes et les empêcher de tomber entre les mains de mauvais acteurs.

Nous savons que la sécurité est un voyage que nous entreprenons avec nos clients, partageant la responsabilité d'assurer une solution de communication sécurisée et fiable. Et avec la tendance récente autour des informations d'identification violées, nous avons décidé de compiler quelques meilleures pratiques pour vous aider à faire votre part dans la sécurisation de votre compte.

Voici 7 façons de sécuriser davantage votre compte.

1. Sécurité du mot de passe

Assurez-vous d'utiliser un mot de passe fort qui n'est pas partagé entre d'autres sites Web et qui est unique à votre compte. Aujourd'hui, un mot de passe fort n'a pas besoin d'être une séquence de caractères difficiles à retenir. Vous devez choisir des mots de passe de plus de 14 caractères et plus faciles à retenir. Voici quelques conseils.

Nous vous recommandons de mettre à jour votre mot de passe s'il ne respecte pas les directives ci-dessus. Pour mettre à jour votre mot de passe dans la console Twilio SendGrid, consultez Réinitialisation de votre nom d'utilisateur et de votre mot de passe.

2. Authentification à deux facteurs

L'authentification à deux facteurs aide à empêcher tout accès non autorisé même si votre mot de passe est volé ou piraté. Selon certaines estimations, il est efficace à 99,9 % contre les attaques automatisées. L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire à vos comptes.

Lorsqu'il est activé, les utilisateurs sont invités à saisir un code envoyé par SMS sur leurs téléphones enregistrés et sécurisés. Sans ce code, vous ne pouvez pas accéder au site Web, à l'application ou aux informations demandés. Bien qu'il ne s'agisse pas d'une solution miracle pour une sécurité parfaite, l'authentification à deux facteurs renforce considérablement votre posture de sécurité. Découvrez comment implémenter cette fonctionnalité.

3. Variables d'environnement pour vos clés API

Ne codez jamais les clés API en dur. Si vous le faites, chaque fois que vous poussez du code vers le référentiel, vous partagez vos clés API avec tout le monde dans votre projet. Même si vous travaillez seul, cela peut causer des problèmes car quiconque voit votre code aura également accès à vos informations secrètes.

Pour éviter ce problème, vous devez stocker vos clés API en tant que variables d'environnement. C'est une pratique beaucoup plus sûre avec l'avantage supplémentaire que vous pouvez les changer une fois au lieu de les traquer partout où ils sont utilisés. Il existe de nombreux documents en ligne qui vous montrent comment faire cela et nous vous recommandons fortement de les consulter.

4. Limitez la portée de votre clé API

Nous recommandons aux utilisateurs d'adopter l'approche « la moins privilégiée » et de ne créer des clés d'API qu'avec les niveaux d'autorisation minimaux dont ils ont besoin. Essayez de créer plusieurs clés API avec moins d'autorisations au lieu d'une clé API avec toutes les autorisations.

Si votre clé API est compromise, il est facile de supprimer et de créer une nouvelle clé API et de mettre à jour vos variables d'environnement avec la nouvelle clé. Les autorisations de clé API peuvent être définies pour donner accès à différentes fonctions de votre compte, sans donner accès à votre compte dans son ensemble.

5. Gestion des accès IP

Certains clients peuvent sécuriser leurs comptes avec la fonction de gestion d'accès IP. Cette fonctionnalité vous permet de contrôler qui peut accéder à votre compte Twilio SendGrid en fonction de l'adresse IP qu'ils utilisent.

Il s'agit d'un outil puissant qui garantit que seuls vous et votre équipe à partir d'adresses IP spécifiées connues peuvent accéder au compte. Une chose dont vous devez être conscient est qu'il est possible de supprimer votre propre adresse IP de votre liste d'adresses autorisées, bloquant ainsi votre propre accès à votre compte.

Bien que nous soyons en mesure de rétablir votre accès, nous exigeons une preuve complète de votre identité et de la propriété de votre compte. Nous prenons la sécurité de votre compte très au sérieux et souhaitons empêcher tout "acteur malveillant" d'accéder à votre compte de manière malveillante.

Votre adresse IP actuelle est clairement affichée pour vous empêcher de la supprimer accidentellement des adresses autorisées. Pour en savoir plus sur cette fonctionnalité et comment l'implémenter, voir Gestion de l'accès IP.

6. Authentification de l'expéditeur

Allons maintenant plus loin et parlons de la sécurité de votre marque en configurant l'authentification de l'expéditeur pour vos domaines afin de configurer SPF et DKIM. Cette fonctionnalité vous permet d'authentifier vos domaines avec votre compte Twilio SendGrid en utilisant des technologies d'authentification de messagerie standard.

Non seulement cela peut augmenter votre réputation du point de vue du FAI, renforcer la confiance et améliorer la cohérence et la délivrabilité de votre marque, mais cela peut également aider à sécuriser votre domaine d'envoi. Il existe trois composants pour une configuration approfondie de l'authentification des e-mails. Vous devez vous familiariser avec les trois technologies et les considérer pour protéger votre marque, vos clients et, en fin de compte, faire de la boîte de réception un endroit plus sûr pour tout le monde :

SPF (Sender Policy Framework) est la forme originale d'authentification des e-mails. SPF est un enregistrement de texte dans votre DNS et crée une association entre l'adresse IP d'envoi et le domaine. SPF en soi n'est pas une preuve complète, mais c'est un point de données supplémentaire que les fournisseurs de boîtes aux lettres comme Gmail utilisent pour établir la réputation d'un expéditeur. En complétant l'authentification de l'expéditeur, SPF sera automatiquement géré pour vous. Pour en savoir plus sur SPF, consultez les enregistrements SPF expliqués.

DKIM (Domain Key Identified Mail) exploite une paire de clés publique/privée pour attribuer un identifiant et une signature uniques à votre e-mail. DKIM permet au destinataire d'un message électronique de s'assurer que le message n'a pas été falsifié lors de la livraison. Une fois l'authentification de l'expéditeur terminée, DKIM sera automatiquement géré pour vous. Nous avons un excellent article de blog qui parle de DKIM en détail : Comment utiliser DKIM pour empêcher l'usurpation de domaine.

DMARC – En plus de SPF et DKIM, DMARC (Domain-based Message Authentication, Reporting & Conformance) permet aux propriétaires de domaine de publier une politique pour les domaines de réception, par exemple Gmail, sur ce qu'il faut faire si un message échoue SPF, DKIM ou les deux.

Lorsqu'une personne essaie d'usurper l'identité d'un domaine qui a activé DMARC, elle sera avertie par le biais d'un rapport médico-légal par les domaines qui vérifient et vérifient DMARC. Cela peut aider à empêcher les expéditeurs malveillants de vous usurper et de nuire à votre réputation d'expéditeur.

La configuration de SPF et DKIM sont des prérequis pour DMARC. Nous nous sommes récemment associés à Valimail pour vous faciliter la tâche, ce qui vous permet d'analyser et de surveiller vos rapports DMARC. Nous recommandons vivement à toute personne configurant DMARC d'utiliser un indicateur d'application p=quarantine ou p=reject.

7. Utilisez des sous-domaines pour envoyer des e-mails

Utilisez des sous-domaines au lieu de votre domaine parent. Vous pouvez isoler plus facilement ce qui affecte votre réputation d'envoi et votre délivrabilité sur chacun de vos sous-domaines en séparant vos e-mails marketing et non marketing. Mais si votre domaine de messagerie est compromis et signalé par un fournisseur de messagerie comme un mauvais expéditeur, votre domaine parent n'est pas compromis.

C'est toujours aussi une bonne pratique de séparer vos e-mails marketing de vos e-mails transactionnels car les utilisateurs finaux voient ces types d'e-mails différemment et ils sont traités différemment sous CAN-SPAM. Il n'est pas rare que les e-mails marketing aient une moins bonne réputation que les e-mails transactionnels. À quelle fréquence marquez-vous une notification d'expédition comme spam ?

La séparation de votre flux de messagerie par type de courrier et de votre domaine d'entreprise de premier niveau vous offre des rapports granulaires et un contrôle flexible pour vous assurer qu'une réputation atteinte sur l'un d'entre eux n'affecte pas nécessairement l'ensemble de votre trafic.

En tant que partenaire de livraison d'e-mails, nous surveillons et améliorons en permanence nos pratiques de sécurité et souhaitons nous assurer que vous êtes conscient et à jour de toutes les manières dont vous pouvez protéger votre compte SendGrid. Pour plus de recommandations sur la sécurité des comptes, consultez la liste de contrôle de sécurité SendGrid en 11 étapes.